IceApple Malware

Mažiausiai nuo 2021 m. grėsmių dalyviai naudojo sudėtingą kenkėjiškų programų sistemą, skirtą po išnaudojimo.

Remiantis jų išvadomis, kibernetiniai nusikaltėliai nusitaikė į subjektus keliuose pramonės sektoriuose – technologijų, vyriausybės, akademinių ir kelių geografinių vietovių. Tikėtinas atakų kampanijų tikslas yra kibernetinis šnipinėjimas ir duomenų vagystės. „IceApple“ nebuvo priskirta konkrečiai įsilaužėlių grupei, tačiau jos elgesys rodo požymių, paprastai siejamų su Kinijai priklausančiais, valstybės remiamais grėsmės veikėjais.

Techninės detalės

„IceApple“ sistema yra pagrįsta tinklu ir susideda iš mažiausiai 18 skirtingų grėsmę keliančių modulių. Nustatyta, kad jis įdiegtas Microsoft Exchange Server egzemplioriuose, tačiau jis gali būti toks pat veiksmingas, kai veikia Interneto informacijos tarnybų (IIS) žiniatinklio programose. Tiesą sakant, CrowdStrike OverWatch teigimu, kibernetiniai nusikaltėliai, sukūrę kenkėjišką programą, turėjo turėti daug ir gilių žinių apie vidinį IIS programinės įrangos veikimą.

Šių žinių pavyzdys yra „IceApple“ aptikimo ir vengimo technikos. Skirtingi moduliai paleidžiami atmintyje, siekiant sumažinti pažeistų sistemų grėsmės pėdsaką. Be to, „IceApple“ susilieja su natūralia sistemos aplinka, sukurdama surinkimo failus, kurie iš pirmo žvilgsnio atrodo teisėtai sugeneruoti IIS žiniatinklio serverio.

Grėsmingi moduliai

„IceApple“ funkcionalumas priklauso nuo įdiegtų modulių. Kiekvienas iš 18 nustatytų modulių yra skirtas atlikti tam tikrą užduotį, įskaitant kredencialų rinkimą, manipuliavimą failų sistema ištrinant failus ir katalogus bei konfidencialių ir vertingų duomenų išfiltravimą. Tiesą sakant, yra vieno failo išfiltravimo modulis ir kitas modulis, galintis užšifruoti, suspausti ir įkelti kelis failus vienu metu. Saugumo ekspertai perspėja, kad „IceApple“ greičiausiai vis dar yra aktyviai kuriama, o jos galimybės gali būti dar labiau išplėstos įdiegus papildomus modulius.